認証されていない Kerberoasting

medium

説明

Kerberoasting は、Active Directory サービスアカウントの資格情報を標的にしてオフラインのパスワードクラッキングを行う攻撃手法の 1 つです。この攻撃では、サービスチケットをリクエストした後にサービスアカウントの資格情報をオフラインでクラックして、サービスアカウントのアクセス権を取得しようとします。従来の Kerberoasting 手法は、Kerberoasting IOA によって対応されています。インジケーターの名前でも言及されているように、Kerberoasting 攻撃には、多くの検出をかいくぐることができるステルス性のアプローチを取る手法もあります。高度な攻撃者は、大部分のヒューリスティック検知に見落とされることを期待して、この手法を好む場合があります。

参考資料

New Attack Paths? AS Requested Service Tickets

MITRE ATT&CK description

CISA - Security Tip (ST04-002) - Choosing and Protecting Passwords

Microsoft documentation - Service Accounts

インジケーターの詳細

名前: 認証されていない Kerberoasting

コード名: I-UnauthKerberoasting

深刻度: Medium

MITRE ATT&CK 情報:
ID: T1558.003
サブテクニック: T1558
戦術: TA0006